AsyncRAT
Az AT&T Alien Labs azonosított egy kampányt, amelynek célja az AsyncRAT eljuttatása a gyanútlan áldozati rendszerekre. A kampány során 11 hónapig dolgoztak azon, hogy a RAT-ot egy adathalász oldalba ágyazott JavaScript fájlon keresztül juttassák célba. Több mint 300 minta és több mint 100 domain után a fenyegető szereplő kitartóan kitart szándékai mellett.
Az AsyncRAT egy 2019-ben kiadott nyílt forráskódú távoli hozzáférési eszköz, amely még mindig elérhető a Githubon. Mint minden távoli hozzáférési eszköz, ez is kihasználható távoli hozzáférési trójai (RAT), különösen ebben az esetben, amikor ingyenesen hozzáférhető és használható. Emiatt az egyik leggyakrabban használt RAT; jellemző elemei közé tartoznak: Kulcsnaplózás, exfiltrációs technikák és/vagy a kezdeti hozzáférés előkészítése a végső hasznos teher kiszállításához.
A kezdeti kiadása óta ez a RAT számos kampányban felbukkant, számos módosítással, nyílt forráskódú jellegének köszönhetően, még az APT Earth Berberoka is használta a TrendMicro jelentése szerint.
Szeptember elején az AT&T Alien Labs megfigyelte az adathalász e-mailek megnövekedett számát, amelyek bizonyos vállalatok egyes tagjait célozták meg. A gif melléklet egy svg fájlhoz vezetett, amely egy erősen obfuszkált JavaScript fájl letöltéséhez is vezetett, amelyet további obfuszkált PowerShell szkriptek és egy AsyncRAT kliens végső futtatása követett. Erről a furcsaságról az X (korábban Twitter) néhány felhasználója is beszámolt, például reecDeep és Igal Lytzki. A kódban található bizonyos minták lehetővé tették számunkra, hogy megforduljunk és további mintákat keressünk ebben a kampányban, ami 2023 februárjáig visszanyúló mintákat eredményezett. A tartományok regisztrációja és az azt követő AsyncRAT-minták megfigyelése e blog megírásának idején még mindig folyamatban van.
A kampány azt mutatja, hogy a fenyegető szereplők mennyire eltökéltek abban, hogy észrevétlenül fertőzzék meg áldozataikat, 2023-ban több száz különböző mintával. Emellett a minták elhomályosítására és folyamatos módosítására tett erőfeszítések azt mutatják, hogy a fenyegető szereplők mennyire nagyra értékelik a diszkréciót. Ez a blog azonban élő bizonyíték arra, hogy a szereplők tevékenységének tanulmányozása az év során lehetővé teszi számunkra, hogy azonosítsuk őket, amikor bármilyen hasznos teherrel visszatérnek, az AT&T Alien Labs által nyomon követett minták széles skálájával.